¿Cómo adaptar tu web a la «ley de cookies»?

Descargas disponibles:

NOTA: En este artículo solo vamos a tratar la información y aceptación de cookies. Debido a la complejidad de la legislación, si tu web además tiene usuarios registrados, foros, boletín de suscripción o formularios de consulta, deberás ajustarte a la nueva legislación, con casilleros de aceptación e información específica que requiere mayor información.

La nueva ley de protección de datos está en vigor desde el 25 de mayo pasado, que es donde terminaba el plazo de adaptación impuesto en 2016. Esto es a nivel Europeo y prevalece por encima de la normativa nacional si hay contradicción, hasta que esta sea actualizada.

Y aquí esta la única referencia textual a las cookies en esta ley. «Las personas físicas pueden ser asociadas a … identificadores de sesión en forma de «cookies» u otros identificadores, … Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.».

El RGPD y también llamado vulgarmente «ley de cookies» por los administradores, establece unas pautas para garantizar los datos privados de los usuarios. Esto son los datos donde se pueda identificar al usuario de cierto modo.

¿Cuántos sitios web cumplen con la RGPD? Menos de los que debiera, y realmente es chocante que grandes empresas parecen no estar cumpliendo ni siquiera un mínimo. Como curiosidad, al acceder a uno de los primeros blog de abogados profesionales que informaban precisamente como cumplir con esta ley para adaptar una web, sin mediar  autorización se habían instalado 36 cookies y algunas sensibles.

Algunos ejemplos:

Google carga, en este caso, 12 cookies técnicas. En cambio este blog de noticias de España carga 105 cookies nada más acceder a la web, por tanto sin autorizar nada.

 

 

 

 

 

 

Que se instalen muchas cookies no quiere decir que se incumpla esta legislación, pero si se instalan cookies de análisis o publicidad personalizada -de la casa Google principalmente-, entre otras, hay que pedir autorización expresa al usuario, salvo que sea un análisis anónimo o que la publicidad no se personalice, y aún así habría que ver hasta que punto sería válida. Por su parte Google, informa a sus usuarios de Adsense sobre los anuncios personalizados pero requiere consentimiento expreso y por ello hay muchas páginas que muestra publicidad no personalizada, pues técnicamente, y de momento, no hay herramientas sencillas para aplicarlas.

Pero empecemos sobre la mención que hace la ley a los datos de carácter personal que los define como toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Por otro lado, menciona el tratamiento de datos como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿Son las cookies un dato de carácter personal? Depende que cookies. Las usadas como medios técnicos no tienen esa consideración, que son las esenciales para que técnicamente pueda funcionar la web y configurarla a gusto del usuario. Estas son las cookies básicas propias del sistema y su cometido no es recabar datos personales y por tanto pueden instalarse nada más acceder a la web. Repetimos, las cookies de análisis no anónimo o publicidad personalizada que recogen información del usuario, son tratadas como un dato personal.

¿Qué dice Google de los anuncios sin personalizar? Si bien en los anuncios sin personalizar no se emplean cookies ni identificadores de anuncios para móviles para la segmentación publicitaria, sí se utilizan ambos elementos para limitar la frecuencia, generar informes globales sobre anuncios y combatir el fraude y el uso inadecuado de datos. Por tanto, debe obtener el consentimiento para usar cookies o identificadores de anuncios para móviles cuando la ley lo estipule, de acuerdo con la Directiva sobre privacidad y comunicaciones electrónicas vigente en determinados países del Espacio Económico Europeo.

Por tanto, no toda cookie recoge información que va a ser tratada como un dato personal. Aquí es donde existe una gran confusión porque la propia legislación no matiza a que cookies hay que pedir autorización. Esto es aún más complejo sino sabemos con exactitud que datos se están recogiendo por terceros, pero es nuestra responsabilidad.

Para arrojar un poco de luz sobre las cookies, hay que ver un poco las ideas de Europa -archivo adjunto de descarga- que las referencia en diferentes apartados del texto, «los usuarios finales pueden acceder a que se les instalen cookies de rastreo sin comprender lo que ello significa y, en algunos casos, se ven incluso expuestos a cookies instaladas sin su consentimiento»«No obstante, a los anunciantes de publicidad personalizada en línea les puede resultar más difícil obtener el consentimiento si una gran proporción de usuarios opta en su configuración por no aceptar cookies de terceros… que deberían garantizar configuraciones respetuosas de la privacidad.»… «Por otra parte, … las cookies de rastreo y otros dispositivos similares de seguimiento no deseados pueden introducirse en el equipo terminal del usuario final sin su conocimiento para acceder a los datos, archivar información oculta o rastrear actividades. «… Esto parece ser lo que más incomoda, la falta de privacidad que sufre el usuario cuando no existió autorización.

Así que, si una web hace uso de estas cookies tiene que pedir consentimiento previo al usuario y, la ley dice, que este debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en Internet. Lo que quiere decir que tiene que ser un consentimiento expreso y no tácito, es decir que expresamente el usuario hace una acción para aceptarlo -antes era válida la simple navegación, por barra de scroll o click sobre la página para entenderse que estaba conforme-. Pero no solo eso, ahora además debe quedar registrada la autorización.

Dicho esto, lo primero es informar al usuario pero no con textos legales complejos, se hará con transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta sería la primera capa de información que hay que mostrar al usuario.

La primera capa es aquella información fácilmente entendible que pide al usuario su consentimiento para la recogida de cookies y el motivo de dicha recogida, es decir, para qué se van a usar.

La segunda capa, mostrará la definición y función de las cookies, información sobre el tipo de cookies que usa la página web, su finalidad y propiedad. Información sobre la forma de desactivar o eliminar las cookies enunciadas y la revocación del consentimiento, que esto puede ser la explicación de eliminarlas desde el propio navegador y resto de datos legales.

¿Es posible cumplir la Ley al 100%? Es complejo técnicamente, afortunadamente los plugin permiten facilitar mucho la tarea. No obstante, lo vital es cumplir al menos lo básico que es informar correctamente y pedir autorización para instalar cookies.

¿Tiene repercusión negativa adaptar una web? Sí, porque requiere que se instalen plugins que genera sobrecarga y lentitud de la web. Sin autorización del usuario no se puede analizar los comportamientos personales ni mostrar publicidad específica, por ejemplo. Por tanto, repercute tanto económicamente como en velocidad de carga.

¿Que probabilidad hay de que multen por incumplir esta ley? Pues básicamente las posibilidades que haya de la denuncia de un usuario, que conlleve el inicio de una incoación de expediente. Cuando la información no está bien expuesta, el criterio es dar un margen de aviso al administrador para que lo subsane y posteriormente, si se niega, iniciar el expediente. Si la infracción ya va más allá, el criterio puede ser más duro.

¿Debo cumplir con la restricción de cookies? Si no estás seguro que alcance tienen tus cookies o cuales vas a instalar, sí. Si usas cookies de publicidad que pueden realizar rastreo, aunque no sea personalizado exclusivamente y análisis web no anónimo, también. Además si tienes cookies sensibles de otra índole debes informarte de su uso por si requieren consentimiento previo. Lo más garantista es bloquear las cookies de terceros hasta ser autorizadas.

¿Hay muchos plugin para WordPress que cumplan con la ley? No. Así de claro hay que decirlo, puesto que lleva al engaño a muchos administradores que realmente no están adaptándose correctamente. La inmensa mayoría te permite poner la primera capa de información y aceptar las cookies, pero no cumplen la norma porque realmente no están bloqueando las cookiesEs obligatorio bloquear todas las cookies relevantes antes de que el usuario acepte, pues no tendría sentido que se instalen las cookies con solo entrar en la página. Si no estás seguro de que cookies se van a instalar, si tienes un sistema de análisis como Google Analytics -sin anonimizar- y usas publicidad personalizada como Adsense, estás recabando datos sensibles, y por seguridad deberías restringir la carga de cookies hasta que el usuario las acepte. De lo contrario, si tienes todas las cookies controladas y ninguna va a recopilar ningún dato personal o identificativo de ningún usuario, es suficiente con que informes claramente a los usuarios.

Un plugin gratuito que cumple, en mayor medida, el RGDP es Ginger – EU Cookie Law que permite bloquear las cookies antes de que el usuario las permita, esto te garantiza asegurarte de que sin autorización no se instala nada. El segundo que también es válido es Italy Cookie Choices, aunque este es más complejo y personalmente no me ha funcionado bien.

Hasta aquí, estos dos plugin gratuitos son los que realmente se acercan a cumplir lo que la ley establece y creo que suficientes para su cometido, porque además de bloquear las cookies permiten el log de registro de aceptación de los usuarios.

Ahora bien, los problemas que se producen al instalar estos plugin son varios. Bloquear las cookies y con ello otras características, a veces impide la correcta visualización de la web y el segundo problema es que no son del todo compatibles con los plugin de caché, en general con los que he probado.

Un plugin de caché, que es imprescindible hoy en día, lo que hace es crear una copia de la página en formato estático para presentarla al usuario cuando la requiera y así ahorrarse las peticiones. Por ello, nuestro plugin de caché debe ser compatible con el plugin de cookies, de lo contrario una vez generada la caché de la página, dejará de funcionar.

Un plugin de pago para cookies es WeePie Cookie Allow, y no porque dicha empresa vaya a pagar por hacerle publicidad, pero realmente es muy efectivo y cumple con lo que pide la ley y además es compatible con ciertos plugin de caché como WP-Rocket (totalmente recomendable, aunque es de pago) y con algunos gratuitos según sus desarrolladores. Personalmente creo que la opción de este plugin junto con WP-Rocket es la combinación más acorde por un gasto aproximado de 50 euros, que dependiendo la web que se trate puede ser una muy buena opción.

¿Cumpliríamos con la RGPD bloqueando las cookies sensibles? Si la información es servida en dos capas, bien desarrollada, se ajusta a lo que dice la normativa y pedimos autorización para estas cookies… estaríamos cumpliendo la legislación.